本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM 审核日志参考
<a name="cloudhsm-audit-log-reference"></a>

AWS CloudHSM 在审核日志事件中记录 HSM 管理命令。每个事件均有一个操作代码 (`Opcode`) 值，该值标识已发生的操作及其响应。您可以使用 `Opcode` 值来搜索、排序和筛选日志。

下表定义了 AWS CloudHSM 审计日志中的`Opcode`值。


| 操作代码 (Opcode) | 说明 | 
| --- |--- |
| **用户登录**：这些事件包含用户名和用户类型 | 
| --- |
| CN\_LOGIN (0xd) | [用户登录](cloudhsm_mgmt_util-loginLogout.md) | 
| CN\_LOGOUT (0xe) | [用户退出](cloudhsm_mgmt_util-loginLogout.md) | 
| CN\_APP\_FINALIZE | 与 HSM 的连接已关闭。此连接中的所有会话密钥或仲裁令牌均已删除。 | 
| CN\_CLOSE\_SESSION | 与 HSM 的会话已结束。此会话中的所有会话密钥或仲裁令牌均已删除。 | 
| **用户管理**：这些事件包含用户名和用户类型。 | 
| --- |
| CN\_CREATE\_USER (0x3) | [创建加密用户 (CU)](cloudhsm_mgmt_util-createUser.md) | 
| CN\_CREATE\_CO | [创建加密员 (CO)](cloudhsm_mgmt_util-createUser.md) | 
| CN\_DELETE\_USER | [删除用户](cloudhsm_mgmt_util-deleteUser.md) | 
| CN\_CHANGE\_PSWD | [更改用户密码](cloudhsm_mgmt_util-changePswd.md) | 
| CN\_SET\_M\_VALUE | 为用户[操作设置法定身份验证](quorum-auth-chsm-cli.md)（M of N） | 
| CN\_APPROVE\_TOKEN | 批准用户[操作的法定身份验证](quorum-auth-chsm-cli.md)令牌 | 
| CN\_DELETE\_TOKEN | 删除一个或多个[法定代币](quorum-auth-chsm-cli.md) | 
| CN\_GET\_TOKEN | 请求签名令牌以启动[法定人数](quorum-auth-chsm-cli.md)操作 | 
| **密钥管理**：这些事件包括密钥处理程序 | 
| --- |
| CN\_GENERATE\_KEY | [生成对称密钥](key_mgmt_util-genSymKey.md) | 
| CN\_GENERATE\_KEY\_PAIR (0x19) | 生成非对称密钥对 | 
| CN\_CREATE\_OBJECT | 导入公有密钥（无包装） | 
| CN\_MODIFY\_OBJECT | 设置关键属性 | 
| CN\_DESTROY\_OBJECT (0x11) | 删除会[话密钥](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-key-sync.html#concepts-key-sync) | 
| CN\_TOMBSTONE\_OBJECT | 删除令[牌密钥](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-key-sync.html#concepts-key-sync) | 
| CN\_SHARE\_OBJECT | [共享或取消共享密钥](cloudhsm_mgmt_util-shareKey.md) | 
| CN\_WRAP\_KEY | 导出密钥的加密副本 ([wrapKey](key_mgmt_util-wrapKey.md)) | 
| CN\_UNWRAP\_KEY | 导入密钥的加密副本 ([unwrapKey](key_mgmt_util-unwrapKey.md)) | 
| CN\_DERIVE\_KEY | 从现有密钥派生对称密钥 | 
| CN\_NIST\_AES\_WRAP | 使用 AES 密钥加密或解密密钥 | 
| CN\_INSERT\_MASKED\_OBJECT\_USER | 在集群中插入带有其他 HSM 属性的加密密钥。 | 
| CN\_EXTRACT\_MASKED\_OBJECT\_USER | 使用来自 HSM 的属性对密钥进行封装/加密，以发送到集群中的另一个 HSM。 | 
| **Session Management** | 
| --- |
| CN\_ENCRYPT\_SESSION\_V2 (0x107) | 建立经过身份验证的 end-to-end加密会话。 | 
| END\_MARKER\_OPCODE (0xffff) | 在审计日志缓冲区中插入结束标记，指示 HSM 上不再允许使用可记录的命令 | 
| **Back up HSMs** | 
| --- |
| CN\_BACKUP\_BEGIN | 开始备份过程 | 
| CN\_BACKUP\_END | 已完成备份过程 | 
| CN\_RESTORE\_BEGIN | 开始从备份中恢复 | 
| CN\_RESTORE\_END | 已完成从备份中恢复的过程 | 
| **Certificate-Based Authentication** | 
| --- |
| CN\_CERT\_AUTH\_STORE\_CERT | 存储集群证书 | 
| **HSM Instance Commands** | 
| --- |
| CN\_INIT\_TOKEN (0x1) | 启动 HSM 初始化过程 | 
| CN\_INIT\_DONE | HSM 初始化过程已完成 | 
| CN\_GEN\_KEY\_ENC\_KEY | 生成密钥加密密钥 (KEK) | 
| CN\_GEN\_PSWD\_ENC\_KEY (0x1d) | 生成密码加密密钥 (PEK) | 
| **HSM crypto commands** | 
| --- |
| CN\_FIPS\_RAND | 生成符合 FIPS 标准的随机数 [1](#hsm-audit-log-note-1) | 

[1] 仅对 hsm1.medium 集群进行记录。